Perché gli analizzatori di codici statici citano CWE piuttosto che CVE nei loro risultati?

-1

Sto scrivendo un articolo su "Il ruolo dell'architettura e del design in Software Assurance" e un commentatore ha chiesto "Fornire un caso più strong per l'utilizzo di CWE sul CVE. Spiegare in che modo le vulnerabilità CVE si riferiscono alla fase di progettazione e all'analisi del codice statico ". Poiché l'articolo è più per ingegneri e sviluppatori di software, sto cercando una spiegazione accurata, chiara e concisa che parli a quel pubblico.

    
posta WaltHouser 18.07.2014 - 20:05
fonte

2 risposte

1

In breve: i CVE sono per "noti noti" o vulnerabilità specifiche. I CWE sono per "unknown known" o vulnerabilità types . Gli scanner dinamici sono alla ricerca di istanze di vulnerabilità già identificate. Anche gli scanner statici fanno lo stesso, ma uno dei loro principali vantaggi è che stanno anche cercando nuove vulnerabilità non ancora identificate .

Un esempio ovvio è che se stai testando un codice che il mondo non ha mai incontrato prima, come potrebbe esserci già un CVE registrato a riguardo? Puoi, tuttavia, parlare del tipo del problema, e questo è ciò che fa un CWE.

    
risposta data 19.08.2014 - 19:43
fonte
-1

Come parte della costruzione del CVE, MITER ha sviluppato nel 2005 una classificazione preliminare e la categorizzazione di vulnerabilità, attacchi, guasti e altri concetti per generalizzare il CVE in debolezze software comuni. Tuttavia, pur essendo sufficienti per CVE, tali raggruppamenti erano troppo difficili da utilizzare per identificare e classificare la funzionalità offerta dai creatori di strumenti per la valutazione della sicurezza del codice. La lista CWE è stata creata per rispondere meglio a tali esigenze aggiuntive. CVE è simile a un inventario di incidenti stradali mentre il CWE è analogo alle condizioni (ad esempio architettura autostradale, progettazione di ponti e strade, segnaletica del traffico, pratiche di guida, procedure di applicazione) che portano a incidenti. Dato l'elevato numero di CVE e il processo per segnalarli, i riferimenti CVE alle cause architettoniche e di progettazione sono intermittenti e in gran parte non verificati. Quando si generano risultati dalle scansioni del codice, gli strumenti di analisi del codice statico possono attingere al CWE per le descrizioni delle debolezze e le raccomandazioni di attenuazione; identificare il CVE pertinente sarebbe difficile data la loro specificità e la loro disconnessione dal codice che li ha generati.

    
risposta data 18.07.2014 - 20:05
fonte

Leggi altre domande sui tag